浙江博来工具有限公司信息安全管理制度.doc

浙江博来工具有限公司 信息安全管理制度 编制:_______ 校对：_______ 审核:_______ 发布日期： 版 本: 浙江博来工具有限公司信息安全管理制度 为保证公司计算机及网络资源的安全使用，提高规范化操作水平,充分发挥计算机及网络在企业信息化管理中的作用,提高工作效率，保证公司内部业务数据的安全,特制订本制度.本制度一共四部分，包括计算机设备管理（硬件层面)、计算机网络安全管理（网络层面）、用户账户及密码管理（账户及密码权限层面）、数据备份与传输（数据安全层面）。 一、计算机设备管理 1。 计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2. 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法.任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向计算机负责部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。 3. 非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督.非本单位技术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经使用部门负责人批准并按公司固定资产管理制度填写“物资放行单”.送修前，需将设备存储介质（硬盘或其他存储设备）拆下,如存储介质必须送修，则须将其中的应用软件和数据等涉及公司经营管理的信息备份后删除,并进行登记。对修复后的设备，系统管理员应对设备进行验收、病毒检测和登记。 4。 系统管理员应对报废设备填写固定资产报废单，对设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。 5．新进员工或新增岗位需要增加计算机和相关外设时，须填写采购申请单经IT人员复核，并按公司固定资产管理制度审核权限，经公司相关领导批准后，由采购人员采购。 6、外购计算机及其他电子设备,由采购人员负责采购，鉴于专业性较强的设备可由IT人员协同采购。设备应由IT人员按公司固定资产管理制度,填写固定资产验收单，并登记入册. 二、网络安全管理 1、系统管理员负责公司整体网络的规划、安装、管理及其相关的技术支持并负责相关网络设备的维护和管理，网络安全信息的追踪,黑客、病毒的日常防护，并定期监督、检查、落实公司各部门的网络安全防护措施。具体措施如下: ①新进员工或新增岗位需要计算机接入网络时，须填写IT用户申请表(固定格式），按所需权限经部门经理及其他相关领导批准后，由系统管理员安装、设置. ②系统管理员负责各接入网络的计算机的计算机名、IP地址、MAC地址、可访问网络权限等设定、登记、管理。计算机名统一为使用人中文名称，其他使用人员不得私自修改IP地址、计算机名. 　　③各接入网络的计算机,由系统管理员统一安装企业版安全、杀毒软件，定期升级病毒库、下载系统补丁升级。 ④系统管理员应定期检查路由器日志，对于网络流量异常的计算机进行及时排查。 2、各网络使用部门和员工协助系统管理员进行公司网络的安全管理. 　　①负责各自部门使用的计算机网络设备的安全管理，对部门使用网络的员工做好教育监督工作，上班时间禁止浏览娱乐网站,包含QQ空间及博客微博、淘宝等与工作无关的网站。因工作需要的须提出申请,由部门主管批准后由系统管理员开放，其它人只有非工作时间可以打开网站，娱乐网站将有IT人员强制控制. 　　②负责及时通知系统管理员有关计算机病毒发生情况及其他安全隐患情况. 三、用户账户及密码管理 用户账户是进入各类计算机应用系统进行业务操作、分级对数据存取进行控制的代码.用户账户分为操作系统账户和业务系统应用软件账户（包括ERP系统、邮件系统、网络存储系统等）。用户账户的设置根据不同应用系统的要求及岗位职责而设置；使用计算机的员工，入职时须填写IT用户申请表,按所需权限经部门经理及其他相关领导批准后，由系统管理员设置账户名称及相关权限. （一）。操作系统账户的设置与管理 1、计算机操作系统账户须按照公司统一规定设置，采用使用人中文名，如有特殊情况需要使用其他账户名，需通知系统管理员设置。 2、系统管理员负责公司计算机上各应用软件的安装、维护，负责故障恢复等管理及维护;除系统管理员外，其他人不得自行安装软件。 3、系统管理员对业务系统应用软件进行数据整理、故障恢复等操作，必须有其上级授权； 4、使用计算机的员工离职时，离职单必须由系统管理员确认签字才可以到财务结算工资,其个人所使用账号两到三天内注销。 5、系统管理员离职或调离岗位，后续管理员（或相关负责人）应及时更改原有系统管理员密码； （二). 应用系统账户的设置与管理 1、应用系统账户由系统管理员根据各类应用系统操作要求生成,应按每操作员一账户设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员离职或调离岗位，其所离职单或调岗单必须由系统管理员签字确认,并及时注销其账户并生成新的操作员账户. (三）。密码与权限管理制度 1。 密码设置应具有安全性、保密性，不能使用简单的代码和标记.密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为操作系统账户密码和应用软件账户密码，操作系统账户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。 2。系统账户和应用系统账户密码应严格保密，如发现或怀疑密码遗失或泄漏应立即修改，并在相应登记簿记录用户名、修改时间、修改人等内容。 3。服务器、路由器等重要设备的超级用户密码由系统管理员设置和管理，并由密码设置人员在“密码管理登记簿"中登记。 4.系统维护用户的密码应至少由两人共同设置、保管和使用。 5。有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除，同时在“密码管理登记簿”中登记。 四、数据存储及传输安全管理 （一）数据备份和恢复 1. 存放备份数据的介质必须具有明确的标识。备份数据必须异地存放，并由备份人员负责备份数据的管理职责; 2. 注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。 3。 任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须由使用部门主管审批，以保证备份数据安全完整。 4. 数据出现问题需要使用备份数据恢复前，必须对现有环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，出现问题时由相关软件厂商进行技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。 5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响. 6.需要长期保存的数据，数据使用部门应制定转存方案，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。 (二)数据传输和解密 1. 公司人员对外进行数据传输时，应使用公司邮件系统进行，不得使用私人邮箱，除特殊情况(数据超大等），经部门主管批准后才可使用即时通讯软件， 2．公司内部数据传输时,应使用局域网共享或公司内部应用软件传输,除未联网的计算机外，不得使用U盘、移动硬盘的移动存储介质。 3. 公司经过加密软件加密的数据，如需解密传输，须提交申请,由部门主管审批后由相关解密人员操作。